"전화 중 보내는 링크도 절대 클릭 말아야"…쿠폰 빙자한 QR코드도 '주의'
![스미싱 공격 전략의 변화
[KISA 제공. 재판매 및 DB 금지]](https://imgnews.pstatic.net/image/001/2025/03/31/AKR20250328037000017_01_i_P4_20250331110117140.jpg?type=w860)
[KISA 제공. 재판매 및 DB 금지]
(서울=연합뉴스) 조성미 기자 = 스미싱 범행이 문자 메시지 등에 악성 코드가 포함된 인터넷 주소(URL)를 넣어 클릭하도록 하는 방식에서 악성 애플리케이션 설치를 유도해 휴대전화를 해킹하는 방식으로 변하고 있다.
31일 한국인터넷진흥원(KISA)이 최근 스미싱 유형을 분석한 결과에 따르면 메시지에 URL을 포함해 발송하는 범행은 최근 줄어드는 추세다.
수상한 URL을 클릭해서는 안 된다는 인식이 널리 퍼진 데다 악성 URL을 사전 탐지하는 기술도 발달했기 때문이다.
그러자 스미싱 범죄자들은 고령층을 주로 대상으로 삼아 전화번호가 담긴 메시지를 발송하기 시작했다는 것이 KISA 설명이다.
가령 "개인정보가 유출돼 명의가 도용될 가능성이 있다", 또는 "카드가 발급됐으니 수령하라" 등의 메시지와 전화번호를 남긴 뒤 이용자가 전화를 걸면 가짜 상담사가 '원격 점검용'이나 '본인 확인용'이라며 앱을 깔도록 유도하는 방식이다.
이 과정에서 앱 설치를 위한 링크를 보내 클릭하게 하는데, 클릭해서 나오는 화면이 앱스토어, 구글 플레이스토어와 같은 공식 앱 마켓의 사용자 환경을 본떠 피해자들은 악성 앱인 줄 모르고 앱을 설치하게 된다는 설명이다.
김은성 KISA 스미싱대응팀장은 "링크를 클릭해 앱을 설치하라고 하는 것은 절대 따라 하면 안 된다. 전화 통화상으로 앱을 설치하라고 유도하는 것은 거의 100% 악성 앱 설치 유도라고 볼 수 있다"고 강조했다.
한국인터네진흥원은 또 최근 마케팅용 쿠폰을 빙자한 QR 코드로 스미싱을 시도하는 사례가 다수 발견되고 있다고 경고했다.
1차로 QR 코드 스미싱에 걸린 피해자가 지인에게 추천하면 본인은 더 많은 무료 혜택이나 마일리지를 얻는 '피라미드 구조'여서 범죄자가 한 명만 감염시키면 피해자 스스로 다른 피해자를 양산하는 구조다.
김 팀장은 "PC는 실시간 감시가 되지만 스마트폰은 실시간 감시가 아니기 때문에 주기적으로 해킹 여부를 검사하거나 백신을 깔아두는 것이 필요하다. 실수로 악성 앱에 노출된 이후에는 범죄자가 원격 제어하는 상태여서 백신 설치가 불가능하다"고 경고했다.
KISA는 스미싱이 휴대전화 해킹 수단으로 진화했다고 보고 '악성 문자 X레이 시스템'을 도입했다고 밝혔다.
메시징 서비스를 제공하는 사업자가 요청받은 대량 발송 문자에 포함된 인터넷 주소의 악성 여부를 분석하고 악성 판정 시 발송을 차단하는 개념이다.
KISA에 따르면 올해 1월 스미싱은 16만5천건, 2월 24만4천건 등 총 40만9천건이 탐지됐다.
이 가운데 금전적 피해까지 이르지는 않고 범죄자들이 추후 범행을 위해 수집하는 계정 탈취 건이 21만8천건으로 가장 많았고, 공공 기관 사칭이 15만8천건, 지인 사칭이 3만1천건으로 집계됐다.
csm@yna.co.kr
